www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(14)

SSH ハニーポットの Kippo で不正ログイン後のコマンド実行されたログを採取しました.侵入者がどのようなコマンド実行をしたのか動画として Youtube にアップロードしています.

SSHハニーポット(Kippo)で採取した不正ログイン後の形跡2


※一部の情報を意図的に伏せています.

 

「sh-4.1$ ./playlog.py 20131114.log」と入力した後が,侵入者による不正ログイン後の一部始終です.入力文字列やタイミングもすべて再現されています.

みどころ

  1. とりあえず w コマンド
  2. /dev/shm へ移動する試み
  3. 空白1個のディレクトリの作成
  4. 外部から攻撃ツールの入手と実行
  5. 最後に侵入の形跡を消すためと考えられるコマンドのコピペ実行

1
飲み屋での一杯目はビールみたいなノリで,侵入後の最初のコマンドは w みたいな.不正侵入で実行されるコマンド第1位です(ウチのハニーポット調べ).

2
/dev/shm は Linux で使われる RAM ディスクです.標準的な OS インストールで作成され,誰でも書き込み権限があります.
しかし,Kippo の仮想システム上には存在しないので,cd コマンドは失敗します.もちろん RAM ディスクなので,ここに作成されたファイルはシステムの再起動をしてしまうと綺麗さっぱり消えてなくなります.

3
正規の管理者に見つかるのを避けるため,空白文字だけを使ったディレクトリ名を指定したと考えられます.
ls コマンドのオプション指定無しであれば,なかなか気づけないと思います.空白文字だけのディレクトリに気づくためには,ls コマンドのオプションで’-F’をつけることが対策として考えられます(ディレクトリ名の最後に/(スラッシュ)がつく).
一部の OS では,標準で’–color=auto’というオプション指定が .bashrc でされていますが,空白なので色付けされません.

4
wget コマンドでダウンロードした攻撃ツールを展開して実行しています.wコマンドと同様に侵入者の共通点として,ツールの元ファイルは展開後に必ず削除するということが見て取れます.そのためもし管理者が侵入に気づいたとしても,どのようなプログラムが実行されているのか探るのは困難です.(メモリダンプとって解析?)

ちなみに,今回の侵入者の接続元 IP アドレスはルーマニアで,攻撃ツールの最後に表示された文字列もルーマニア語のようです.(中二病か…)

Toata dragostea mea pentru diavola!!!!!! → Google 翻訳

5
実行されたコマンドを列挙してみます.コマンドの区切りである,セミコロンで改行してます.

unset
rm -rf /var/run/utmp /var/log/wtmp /var/log/lastlog /var/log/messages /var/log/secure /var/log/xferlog /var/log/maillog
touch /var/run/utmp /var/log/wtmp /var/log/lastlog /var/log/messages /var/log/secure /var/log/xferlog /var/log/maillog
unset HISTFILE
unset HISTSAVE
unset HISTLOG
history -n
unset WATCH
export HISTFILE=/dev/null
export HISTFILE=/dev/null
ログインに関わる情報のログファイルを削除(rm)し,空ファイルとして作成(touch)しています.侵入の形跡を消そうとしてますね.

またコマンド履歴を残さないような設定(unset/export コマンド)をしています./dev/null が指定された場合,そこに出力されるログは消えます.(ここ Hardening で出ます)

なお現在の環境変数の状態は env コマンドで見ることができます.


以上のように,一度侵入されてしまうと,不正なコマンドが実行され,なおかつ証拠を残さないように行動されてしまいます.

侵入されないことが最善ですが,もし侵入された場合のことを想定しておくことが必要だと思います.たとえばログイントラップやファイルの改ざん検知,内部の端末から外部(インターネット)に向けた不審な通信を発見する仕組みなどなど.

なお今回は,同時に「一時ディレクトリで不正なファイル実行を防ぐ方法」を解説した記事を公開するので,そちらも参考にどうぞ.

Written by 森久

11月 19th, 2013 at 6:32 pm